Http "für alles Anonyme", SSL bei Login

[MKM_B]

Hai,
habe mal ein wenig in den Beiträgen hier geforscht, aber eine Antwort auf mein Problem habe ich nicht gefunden (sorry vorab, falls der Blick zu eng war/wäre):

Es gibt eine Reihe von Datenbanken (u.a. auch über die Default-Homepage angesprochen), bei denen muß der Zugriff Anonym sein und bleiben.

Es gibt einige ganz wenige (sagen wir mal: 3 bis 5) Datenbanken, da will ich den Zugriff nur per SSL gestatten.
Lösungsidee war/ist: Ich gestatte bei diesen 3 Datenbanken über die DB-Eigenschaften den Zugriff nur per SSL (und natürlich richtige gesetzte ACL).
Das funzt auch gut bis auf ein Problem: Ich kann nicht erkennen, ob das Login-Fenster  bereits per SSL verschlüsselte Daten überträgt (vermute eher: nein), ab Zugang zur Datenbank läuft dann SSL.

Fragen:
1. Kann mir jemand sagen, ob die Anmelde-Übertragung bereits per SSL erfolgt? Es ist ein Fenster über der Seite, die noch mit http gekennzeichnet ist.
2. Wenn nein: Gibt es eine Möglichkeit, bereits diese Anmeldung (bei den an SSL gebundenen Datenbanken) per SSL zu erzwingen?

P.S.: Habe dies schon über DWA-Redirect versucht mit https-Umsetzung, die Anmeldefrage bleibt da für mich aber gleichermaßen offen.

Danke für eine Info
MKM aus B

[michael-r]

Wenn der Zugang per https erfolgt, dann steht im Browser auch https.

Unter den Eigenschaften der DB gibt es eine SSL Option:
"SSL Verbindung anfordern"

Vielleicht hilft dir das weiter, bin aber nicht so vertraut mit den Domino Webservices.

Du könntest die ja auch per Link auf https legen (rein theoretisch)?

[MKM_B]

Hallo Michael,
vielen Dank für die Info.

Das Legen von Lesezeichen ist schon klar, z.B. an meinem "festen externen PC". Auch wenn der Benutzer als URL mit https aufruft, sollte "eigentlich" https schon funzen ...

Ich will folgendes abfangen:
1. die Datenbank soll mit SSL geöffnet werden, auch wenn der Benutzer dies "vergißt" - sichergestellt über die DB-Eigenschaft.
2. die (SSL-geschützten) Datenbanken selbst sollen nicht von den anderen öffentlichen Web-Seiten verlinkt werden (ich weiß, verstecken ist kein Schutz ..., der stimmt dann schon)
3. Hauptgrund meiner Anfrage: ich will sicherstellen, daß bereits diese Authentifizierung SSL-verschlüsselt ist (die Datenbank selbst ist dann über SSL geöffnet).

In der Anmeldemaske steht, daß ein https-Zugriff erfolgen soll (nicht: erfolgt schon ...).
In einer anderen Datenbank habe ich das Login mit Authentifizierung ohne SSL angefordert, da sieht die Information in der Anmeldemaske auch anders aus (... http://  statt https:// ...).
Unklar ist mir also nur, ob diese Anmeldung bereits per https (oder http, von der Stelle komme ich nämlich) erfolgt, ein "eigentlich ..." ist mir da zu wenig und ich hätte das gern durch die Forum-Info abgesichert. Werde wohl ein Trace oder Debuggen aufsetzen müssen ?!?

Danke für eine Info
Michael
MKM_B

[WernerMo]

hallo,

wie michael -r sagt, man sieht das im Browser in der Adresszeile am https und im Firefox an der gelben Farbe der Adresszeile, bzw. im MS IE an dem (geschlossenen) Schloß unten rechts.

Oder habe ich die Frage nicht verstanden?

Gruß Werner

[MKM_B]

Hallo,
vielleicht ist meine Frage einfach zu banal.
Der Unterschied in den Anzeigen der verschiedenen Browser ist mir schon klar, d.h. ich sehe genau, ob http oder https läuft. Nur bei dem Anmeldefenster selbst bin ich mir nicht sicher: sind diese Daten schon verschlüsselt? Geht bei einer Browseranmeldung grundsätzlich alles verschlüsselt über die Leitung?

Beim ersten Bild: in der Browser-Adresszeile steht noch http, in der Anmeldemaske ist für das Ziel https genannt - die nun übertragenen Datren: sind die sicher?

im 2. Bild ist erkennbar: Breche ich ab, dann erhalte ich den Authentifizierungsfehler über https

Kann man hieraus und aus anderen Indizien (etwa Ablehnen der Annahme des unbekannten Zertifikats, fordert keine Autehtifizierung ...) folgern, daß die Anmeldung bereits per https über die Leitung geht? Und/oder: Ist die Übertragung dieser Anmeldedaten generell sicher, so daß ich mir keine Gedanken machen brauche (... mit Grummeln im Bauch ...)?

Danke
Michael
MKM_B

[m3]

Was in der Adressleiste steht, ist das,was Dein Browser an den Server schickt, das Fenster mit dem Anmeldeprompt geht erst auf, nachdem der Server gesagt hat "ah, für die DB brauch ich eine Anmeldung". Wie Du richtig erkannt hast, ist diese Kommunikation bereits verschlüsselt.
Einmal kurz mit einem Sniffer oder etwa Fiddler der Kommunikation zugesehen und du es wird Dir die Erkentniss wie Schuppen aus den Haaren fallen.

[MKM_B]

Dann Danke ich ganz herzlich für die Erleuchtung ... Und wenn noch viel Zeit ist, dann fiedle ich vielleicht etwas ..., bildet bestimmt.
Und tschüss

[datenbanken24]

Für Deinen Anforderungsfall kannst Du auch bei der domcfg.nsf selbst einstellen, dass sie nur über SSL aufzurufen ist.

So kannst Du 101 %ig sicher sein, dass Dein Login-Dialog schon SSL hat,
denn der kommt aus der domcfg.nsf.  Möglicheweise hast Du ja eine Datenbank dabei, auf die man sich einloggen könnte, die die SSL Eigenschaft nicht hat - und somit würde auch der Login-Dialog ohne SSL kommen.

Gruß.
Uwe

[datenbanken24]

Ich habe jetzt erst Deinen Screenshot gesehen...

Kann es sein, dass Du OHNE Session Authentication fährst
Dann glaube ich Dir gerne, dass Dein Login-Dialog KEIN SSL hat !
und erst die Datenbank auf SSL umschaltet...

Gruß,
Uwe

[MKM_B]

Hallo Uwe,
Danke für den Hinweis.
Ich werde mich mal mit der domcfg beschäftigen, denn nur die DB anlegen und Eintragen der Anmeldemaske sowie Erzwingen von SSL bei der domcfg bringen mir (zumindest optisch) einen identischen Ablauf, da muß also vielleicht noch mehr ran, dazu komme ich aber heute und in den nächsten Tagen nicht ...
Zumindest weiß ich, daß ich nun wohl doch noch nicht durch bin mit dem Thema.
Session Authentifizierung habe  ich nicht, weil ich keine Cookies setzen möchte - davon ausgehend, daß nicht jeder Cookies akzeptiert und dann wieder nur entsprechende Fragen kommen.
Danke.
Michael

[datenbanken24]

Die Session Authentication stellst Du im Server Dokument ein.
Nur dann wird die domcfg benutzt  -  und nur dann hast Du beim Login SSL.

Die Cookies sind nur Session Cookies,
die sofort nach dem Schließen des Browsers oder nach dem Logout wieder verschwinden, keine permanenten,
Diese Session Cookies sind eigentlch nie ein Problem und werden von jeder Standard-Installation bzw. sogar mit der Sicherheitsstufe "hoch" akzeptiert.

Gruß,
Uwe

[MKM_B]

Hallo Uwe,
schnell mal Deinen Tiop in der Mittagspause ausprobiert - Super!!! Nun habe ich die Anmeldung in einer SSL-Maske.
Danke!